AGGIORNAMENTO 30/12/2024
Qui di seguito vi riportiamo la dichiarazione che InfoCert ha rilasciato in merito ai fatti riportati lo scorso 29 dicembre:
Ribadiamo che la sicurezza e il funzionamento dei servizi SPID, firma digitale e PEC, oltre che di tutti gli altri servizi InfoCert, non sono mai state compromesse dall’illecita sottrazione di dati che ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care.
I dati interessati sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing. Possiamo quindi confermare che,ad oggi, contrariamente a quanto riportato da alcune fonti non ufficiali online, non è stata in alcun modo compromessa l’operatività, la sicurezza e l’integrità dei servizi di InfoCert. Come già comunicato, lo scorso 27 dicembre abbiamo rilevato tempestivamente che sono stati resi disponibili su una piattaforma dedicata alla compravendita di dati acquisiti abusivamente,
alcune informazioni relative a nostri clienti. In collaborazione con il nostro fornitore, abbiamo subito posto in essere tutte le misure tecniche per verificare l’evento e tutelare i nostri utenti, contenendo l’attività illecita. Sono ancora in corso analisi tecniche, che stiamo svolgendo con il massimo grado di approfondimento e insieme al nostro fornitore; contemporaneamente, stiamo procedendo con le opportune denunce e notifiche alle Autorità competenti. Continueremo ovviamente a monitorare la situazione con la massima attenzione ed a fornire aggiornamenti tempestivi ai nostri clienti”.
Notizia Originale
Un'importante violazione di dati ha colpito InfoCert, uno dei principali gestori dello SPID in Italia. Su un forum del dark web sono stati messi in vendita 5,5 milioni di dati contenenti informazioni personali di utenti, tra cui nomi, cognomi, codici fiscali, numeri di telefono e indirizzi email.
La notizia è stata segnalata su X dall'utente @sonoclaudio, cofondatore della piattaforma ransomfeed.it che monitora gli attacchi informatici. Secondo quanto riportato, il venditore sul dark web afferma di possedere 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email unici, offrendo i dati al prezzo di 1.500 dollari per singola contrattazione.
InfoCert non ha ancora rilasciato dichiarazioni ufficiali sulla presunta violazione. L'azienda è una delle principali autorità di certificazione in Europa e un fornitore accreditato di servizi SPID (Sistema Pubblico di Identità Digitale) in Italia.
L'eventuale conferma di questa violazione potrebbe avere gravi ripercussioni, considerando il ruolo cruciale di InfoCert nella gestione di dati sensibili e identità digitali. L'azienda è infatti:
- Qualified Trust Service Provider ai sensi del regolamento eIDAS
- Gestore accreditato del Sistema Pubblico di Identità Digitale (SPID)
- Fornitore di servizi come firma digitale e posta elettronica certificata
InfoCert è anche coinvolta in progetti europei legati al Digital Identity Wallet, tra cui l'implementazione italiana IT-Wallet. Partecipa ai consorzi EWC e NOBID, che stanno sviluppando soluzioni per l'utilizzo del wallet digitale nei settori dei viaggi e dei pagamenti transfrontalieri.
Se confermata, questa violazione potrebbe minare la fiducia nel sistema SPID e nei servizi di identità digitale in generale. Le informazioni personali trafugate potrebbero essere utilizzate per attacchi di phishing mirati o altre forme di frode informatica.
🇮🇹 Database @InfoCert_it in vendita su un noto forum.
— Claudio (@sonoclaudio) December 27, 2024
Secondo il venditore, il DB contiene:
▪️5,5 milioni di record;
▪️1,1 milioni di numeri di telefono;
▪️2,5 milioni di indirizzi email;
Nel sample pubblicato, anche nomi e cognomi e codici fiscali.
Cc/ @GPDP_IT pic.twitter.com/v6DumHgP8m
È importante che gli utenti dei servizi InfoCert e SPID rimangano vigili, monitorando eventuali attività sospette sui propri account e cambiando le password di accesso per precauzione. Le autorità competenti, come il Garante per la Protezione dei Dati Personali, potrebbero avviare indagini per verificare l'accaduto e valutare eventuali responsabilità.
La vicenda sottolinea ancora una volta l'importanza di robusti sistemi di sicurezza informatica, soprattutto per le aziende che gestiscono dati sensibili di milioni di utenti. Sarà fondamentale seguire gli sviluppi della situazione per comprendere l'entità effettiva della violazione e le misure che verranno adottate per mitigarne gli effetti.